Mikrotik

Материал из sysadm
Перейти к навигации Перейти к поиску

VPN

Консоль

Очистка истории команд 

console clear-history

Скрипты

Разное

Ссылки по теме

Вывод списка VPN учеток с комментарием 

:foreach i in=[/ppp secret find ] do={:put ([/ppp secret get $i name] . "; " . [/ppp secret get $i comment])};

:resolve example.com
:pick <str> <start> <end>
:len <str>
:find <str> <tofind>
:for <str> from=0 to=10 do={ }
:foreach <str> in=[/ip arp find] do={$cmd }
:do :while OR :while :do
:set arraytest {“a”;”b”;”c”;”d”}
:put ($arraytest->3)
[/ip arp find address~"^192"]

Пример удаления параметра dst-address из правила фильтра 

/ip firewall filter [find comment="MyRule"] unset dst-address

Глобальные переменные

Для видимости глобальной переменной в запускаемом скрипте, скрипту необходимо право policy 

# создание глобальной переменной
:global myVar 0;

# удаление глобальной переменной
:global myVar $nil;

# вывод списка определенных глобальных переменных
:environment print

# определение типа данных
:put [:typeof $myVar];

Резервирование

Сетевая авторизация

  • Dot1X - с версии 6.45 доступна новая система сетевой авторизации Dot1X, позволяет привязать VLAN к группе пользователей AD

QoS (Quality of Service)

Обзор

Ссылки по теме


Термины

  • FIFO (First Input First Output)

Типы очередей

Виды очередей (kind)

  • none (нет алгоритма управления очередью, используются только аппаратные возможности)
  • pfifo (packet FIFO) FIFO на уровне пакетов, один буфер на все потоки
  • bfifo (byte FIFO) FIFO на уровне байтов, один буфер на все потоки
  • mq-pfifo (multi queue packet FIFO) FIFO на уровне пакетов, отдельный буфер под каждый поток
  • red (random early drop) определяется верхний и нижний лимит очереди, пакеты отбрасываются при превышении верхнего предела и с заданной вероятностью в интервале между нижним и верхним пределом.
  • sfq (stochastic fairness queuing) хеш функция распределяет все потоки на 1024 очередей, очереди обрабатываются по Round Robin по одному пакету за раз
  • pcq (per-connection queuing) расширенный вариант sfq

Очереди типа FIFO не рекомендуется использовать на высоко нагруженных каналах. Если буфер переполняется, то пакеты отбрасываются. Чем выше буфер, тем выше задержка.

sfq можно обмануть, если процесс будет создавать множество сессий, то получит приоритет по трафику по отношению к другим.

Тип очереди (Queue Type) - это заданный вид очереди с определенными для него параметрами.

В Router OS есть предварительно созданный набор типов очередей, при этом их параметры можно менять. Можно также создавать свои типы очередей.

Текущий список типов очередей 

/queue type print

Принципы ограничения скорости

  • Ограничение (при превышении лимита пакеты отбрасываются, буфер не требуется), необходимо использовать для трафика чувствительного к задержкам
  • Выравнивание (при превышении лимита пакеты сохраняются в буфер и задерживаются)

Настройка

CIR (Commited Information Rate) - гарантированная скорость (limit-at) MIR (Maximum Information Rate) - максимальная скорость (max-limit)

Параметры простой очереди (Simple Queue)

  • target - источник {подсеть | интерфейс}
  • dst - назначение {подсеть | интерфейс}
  • max-limit = upload / download
  • limit-at = upload / download

Firewall

Ограничение доступов по MAC адресам

Ссылки по теме:

Предоставление доступа по MAC адресам

  1. На каждый MAC создаем отдельное правило в (IP/Firewall/Mangle), chain - prerouting, условие (In Interface, Advanced/src. MAC address), действие добавление в Address List на заданный интервал времени (например 60 сек.)
  2. Разрешаем списку IP, то что нужно

Список будет формироваться и очищаться динамически, а доступ предоставляться по списку.

Можно проще, создать нужное количество правил Firewall, под каждый src-MAC, но это хуже в плане производительности.

Лицензирование CHR

Ссылки по теме

Типы лицензий 

* Free  (ограничение 1Мбит/с)
* Trial (нет ограничения по скорости) (60 дней)
* P1    (ограничение 1Гбит/с)  45$
* P10   (ограничение 10Гбит/с) 95$
* P-Unlimited (нет ограничения по скорости) 250$

После установки CHR запускается с лицензией Free. Чтобы перейти на Trial необходимо зарегистрироваться на сайте mikrotik.com и запросить триал, указав System ID вашего CHR (см. /system license). После обновления Trial лицензии на платную, необходимо вручную выполнить [Renew License] на CHR, при этом потребуется ввести учетные данные вашей регистрации на сайте. Если это не сделать до истечения срока Trial, то придется переустанавливать CHR, запрашивать новый Trial для нового System ID, после чего обновлять на платную лицензию.

Купленную лицензию можно переносить на другой System ID, кнопка [Transfer] в личном кабинете.

Платные лицензии не ограничены сроком, но они имеют период обновления лицензии (нужно уточнять какой).

В меню "/system license "маршрутизатор указывает время следующего обновления, когда он попытается связаться с сервером, расположенным на licence.mikrotik.com. Попытки связи будут выполняться один раз в час после даты следующего обновления и не прекратятся до тех пор, пока сервер не ответит ошибкой. Если дата крайнего срока достигнута без успешного обращения к серверу учетных записей, маршрутизатор сочтет, что срок действия лицензии истек, и запретит дальнейшие обновления программного обеспечения. Однако маршрутизатор продолжит работу с тем же уровнем лицензий, что и ранее.

Известные проблемы

Проблема с подключением по ssh

Putty сообщает, что не может обменяться ключами, ошибка 3.

Клиент ssh в Linux сообщает 

Received disconnect from 192.168.0.1 port 22:3:

Причина:

На устройстве записан не корректный ключ ssh

Решение:

Войдите через winbox и пересоздайте ключ ssh 

/ip ssh regenerate-host-key
Источник — https://sysadm.mooo.com/index.php?title=Mikrotik&oldid=1614